專利名稱:用于對密碼保護(hù)的有效數(shù)據(jù)單元加速解密的方法和系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及ー種方法和一種系統(tǒng)�,它們用于對密碼保護(hù)的有效數(shù)據(jù)単元加速解密,尤其是用于對混合加密的數(shù)據(jù)加速解密�。
背景技術(shù):
在經(jīng)過傳輸通道將數(shù)據(jù)從發(fā)送裝置傳輸?shù)浇邮昭b置吋,這些數(shù)據(jù)在很多情況下都會被加密傳輸����,以便防止未授權(quán)的第三方讀取這些數(shù)據(jù)�����。公知了各種加密法�,尤其是非對稱及對稱加密法�����。在傳統(tǒng)的混合加密法中���,將非對稱加密與對稱加密進(jìn)行組合�。因此����,首先借助非対稱加密法對生成的對話密碼非對稱地加密并緩存。利用這個生成的未加密的對話密碼�,在使用對稱加密法的情況下將實際要進(jìn)行傳輸?shù)挠行?shù)據(jù)加密,并且在緩存后經(jīng)過傳輸通道傳輸給接收裝置��。在接收裝置方面以相應(yīng)的方式實現(xiàn)解密�。使用混合加密法�����,使得這些有效數(shù)據(jù)一方面利用非対稱加密法被加密,其中該過程允許非對稱的密鑰管理�����,并且另一方面由于使用了對稱加密法�,因此用于對有效數(shù)據(jù)進(jìn)行加密和解密的計算能力的高特性或者低要求可以被充分利用。非対稱密鑰管理法使用了密鑰對����,其由用于加密的公共密鑰和用于解密的私人密鑰組成。由于使用了非対稱密鑰管理法�����,所以無需對在非対稱加密法中使用的公共密鑰保密�。在使用的密鑰長度的安全等級差不多吋,與非対稱加密法相比�, 針對有效數(shù)據(jù)使用對稱加密法和對稱解密法會提高數(shù)據(jù)傳輸率。在傳統(tǒng)的混合加密法中��,在許多實際應(yīng)用情況中�,混合加密法中的公共密鑰 (Public-Key)部分是ー個性能瓶頸。這尤其表現(xiàn)在帶密碼的方法的軟件執(zhí)行吋�,例如在嵌入式系統(tǒng)、微控制器和智能卡中。因此��,在使用混合加密法的傳統(tǒng)系統(tǒng)中����,在許多情況下會使用特殊的硬件,例如長整數(shù)運(yùn)算器���、密碼處理器或者硬件乘法器��,用于使公共密鑰計算或者非対稱地加密和解密加速進(jìn)行�����。在非対稱地加密和解密過程中執(zhí)行的公共密鑰操作或者說計算步驟都很復(fù)雜�����,并且需要很大的計算能力或者說十分耗時�����。
發(fā)明內(nèi)容
因此�,本發(fā)明的目的在于實現(xiàn)ー種方法���,該方法能夠加速混合加密法����,而不會明顯提高對其中使用的線路的計算量或者說復(fù)雜度的要求�����。根據(jù)本發(fā)明����,該目的通過具有權(quán)利要求1所述特征的方法來實現(xiàn)。本發(fā)明實現(xiàn)了ー種用于對密碼保護(hù)的有效數(shù)據(jù)単元加速解密的方法�����,其具有以下步驟(a)如果對接收到的����、帶密碼的密鑰(K.)的附屬的密鑰標(biāo)識(K^ID)檢查得出, 接收裝置中存在的帶密碼的密鑰(Kot)仍未解密����,那么由接收裝置借助私人密鑰(Kpkiv)對接收到的非対稱加密的密鑰(ENC-Kcjem)進(jìn)行解密;并且(b)利用該接收裝置中存在的帶密碼的密鑰(Kot)��,或者如果在接收裝置中不存在所述帶密碼的密鑰(Kra)時,則利用借助私人密鑰(Kpkiv)解密的帶密碼的密鑰(Kot)對接收到的用密碼加密的有效數(shù)據(jù)単元(ENC-NDE )進(jìn)行解密�。
在根據(jù)本發(fā)明的方法的一個實施方式中,如果對接收到的密鑰標(biāo)識檢查得出���,在該接收裝置中仍不存在附屬的帶密碼的密鑰�����,那么借助私人密鑰解密的帶密碼的密鑰連同其附屬的密鑰標(biāo)識一起被存儲起來�����。在根據(jù)本發(fā)明的方法的一個實施方式中����,有效數(shù)據(jù)単元由軟件組件制造商OEM的軟件組件構(gòu)成����。在根據(jù)本發(fā)明的方法的ー個可能的實施方式中,帶密碼的密鑰Kra由軟件組件制造商的對話密鑰構(gòu)成���。在根據(jù)本發(fā)明的方法的ー個可能的實施方式中��,密鑰標(biāo)識由相應(yīng)的帶密碼的密鑰的散列值或者測驗值構(gòu)成��。在根據(jù)本發(fā)明的方法的ー個可能的實施方式中�����,該密鑰標(biāo)識由發(fā)送裝置的隨機(jī)數(shù)發(fā)生器生成的隨機(jī)值構(gòu)成�����。在根據(jù)本發(fā)明的方法的一個可替代的實施方式中��,密鑰標(biāo)識由發(fā)送裝置的計數(shù)器生成的計數(shù)值構(gòu)成���。在根據(jù)本發(fā)明的方法的一種實施方式中,加密的有效數(shù)據(jù)単元���、附屬的非対稱加密的帶密碼的密鑰和其密鑰標(biāo)識通過網(wǎng)絡(luò)或者以存儲在數(shù)據(jù)載體上的形式由發(fā)送裝置傳輸給接收裝置��。在根據(jù)本發(fā)明的方法的一種實施方式中�,發(fā)送裝置由軟件組件制造商的���、用于開發(fā)軟件組件的開發(fā)裝置構(gòu)成�����。在根據(jù)本發(fā)明的方法的ー種可能的實施方式中����,接收裝置由應(yīng)用者的、用于執(zhí)行軟件組件的目標(biāo)系統(tǒng)裝置構(gòu)成�。在根據(jù)本發(fā)明的方法的ー種可能的實施方式中,接收裝置由可編程存儲控制裝置構(gòu)成�。本發(fā)明還實現(xiàn)了一種用于對密碼保護(hù)的有效數(shù)據(jù)単元加速解密的系統(tǒng),具有(a)發(fā)送裝置(2)�����,其具有-用于借助公共密鑰(KpuB)非対稱地對帶密碼的密鑰Kra)加密的第一加密單元�����;-用于借助帶密碼的密鑰(Kot)對至少一個有效數(shù)據(jù)單元(NDE)加密的第二加密單元�;和-端ロ,用于提供加密的有效數(shù)據(jù)単元(ENC-NDE)��、所述非對稱加密的密鑰 (ENC-Koem)和帶密碼的密鑰(Kcjem)的附屬的密鑰標(biāo)識(K^ID)�;(b)傳輸裝置,其用于傳輸加密的有效數(shù)據(jù)単元(ENC-NDE)�����、非対稱加密的密鑰 (ENC-Koem)和帶密碼的密鑰(Κ_)的所述附屬的密鑰標(biāo)識(K.ID);和(c)接收裝置����,其具有-檢驗單元,其用于根據(jù)接收到的密鑰標(biāo)識(K^ID)檢查傳輸?shù)姆菍澐Q加密的密鑰(ENC-Kot)是否已經(jīng)以解密的形式存在于接收裝置中��;-第一解密單元�����,如果對帶密碼的密鑰(Kot)的附屬的密鑰標(biāo)識(KcmfID)檢查得出�,加密接收到的帶密碼的密鑰(Kot)仍未以解密的形式存在于接收裝置中�����,那么第一解密単元借助私人密鑰(Kpkiv)對接收到的非対稱加密的密鑰(ENC-Kcjem)進(jìn)行解密����;-第二解密單元,其利用接收裝置中已經(jīng)以解密的形式存在的帶密碼的密鑰(Kqem) 或者利用由第一解密單元解密的帶密碼的密鑰(Kot)對接收到的密碼加密的有效數(shù)據(jù)単元(ENC-NDE)進(jìn)行解密�。本發(fā)明還實現(xiàn)了一種發(fā)送裝置,其具有-用于借助公共密鑰(KpJ非対稱地對帶密碼的密鑰(Kra)加密的第一加密單元���;-用于借助該帶密碼的密鑰(Kra)對至少一個有效數(shù)據(jù)單元(NDE)加密的第二加密單元�;和-端ロ,用于提供該加密的有效數(shù)據(jù)単元(ENC-NDE)�、非対稱加密的密鑰 (ENC-Koem)和該帶密碼的密鑰(Kcjem)的附屬的密鑰標(biāo)識(K^ID)。本發(fā)明還實現(xiàn)了一種接收裝置�,其具有-檢驗單元,用于根據(jù)接收到的密鑰標(biāo)識(Kra_ID)檢查傳輸?shù)姆菍澐Q加密的密鑰 (ENC-Kra)是否已經(jīng)以解密的形式存在于接收裝置中�����;-第一解密單元��,如果對帶密碼的密鑰(Kra)的附屬的密鑰標(biāo)識(Kra_ID)檢查后得出��,加密接收到的帶密碼的密鑰(Kot)仍未以解密的形式存在�,那么該第一解密單元借助私人密鑰(Kpkiv)對接收到的非対稱加密的密鑰(ENC-Kot)進(jìn)行解密;和-第二解密單元�����,其利用接收裝置中已經(jīng)以解密的形式存在的帶密碼的密鑰(Kqem) 或者利用由第一解密單元解密的帶密碼的密鑰(Kot)對接收到的用密碼加密的有效數(shù)據(jù)單元(ENC-NDE)進(jìn)行解密����。
下面,參照附圖對根據(jù)本發(fā)明的系統(tǒng)的根據(jù)本發(fā)明的方法的可能的實施方式進(jìn)行說明�����。圖1示出了用于描述根據(jù)本發(fā)明的方法的ー種可能的實施方式的流程圖;圖2示出了用于描述根據(jù)本發(fā)明的系統(tǒng)的ー種可能的實施方式的框圖����。
具體實施例方式如可以從圖1中識別出的,加密的數(shù)據(jù)傳輸包括一種根據(jù)本發(fā)明對密碼保護(hù)的有效數(shù)據(jù)NDE加速解密的方法���,其中����,在六個步驟Sl至S6中實現(xiàn)的數(shù)據(jù)傳輸在步驟S5��,S6中包含了根據(jù)本發(fā)明的解密方法��。在第一步驟Sl中��,首選生成帶密碼的密鑰�����。這個帶密碼的密鑰尤其可以是軟件組件制造商OEM(原始設(shè)備制造商)的帶密碼的密鑰����。這個生成的帶密碼的密鑰在步驟Sl 中配有附屬的密鑰標(biāo)識Kra-ID。在進(jìn)行傳輸?shù)末`種可能的實施方式中���,密鑰標(biāo)識Kra-ID由相應(yīng)的帶密碼的密鑰Kot的散列值或測驗值構(gòu)成或者說計算出�����。在一個可替換的實施方式中����,密鑰標(biāo)識Kot-ID由生成的隨機(jī)數(shù)構(gòu)成�,該隨機(jī)數(shù)例如由發(fā)送裝置的隨機(jī)生產(chǎn)器生成。在另ー個可能的實施方式中��,密鑰標(biāo)識Kcjem-ID由發(fā)送裝置內(nèi)部的計數(shù)器生成的計數(shù)值構(gòu)成��。在步驟Sl中生成該帶密碼的密鑰Kqem以及附屬的密鑰標(biāo)識之后��,在步驟S2中通過發(fā)送裝置借助帶密碼的公共密鑰Kpub對生成的帶密碼的密鑰Kot進(jìn)行非対稱加密��。在另ー個步驟S3中��,至少ー個有效數(shù)據(jù)単元NDE由發(fā)送裝置借助生成的帶密碼的密鑰Kot加密�����。在ー個可能的實施方式中,有效數(shù)據(jù)単元NDE是軟件組件制造商OEM的軟件組件SWK或者說軟件模塊�,其中,發(fā)送裝置是該軟件組件制造商的開發(fā)裝置的一部分或者說ー個開發(fā)環(huán)境��。
在另ー個步驟S4中���,加密的有效數(shù)據(jù)単元ENC-NDE或者說加密的軟件組件和非對稱加密的帶密碼的密鑰ENC-Kot以及該帶密碼的密鑰Kot的附屬的密鑰標(biāo)識(Kcjem-ID)由發(fā)送裝置傳輸給接收裝置����。在此在ー個可能的實施方式中�����,這種傳輸可以通過線路或者網(wǎng)絡(luò)實現(xiàn)���。在一個可替換的實施方式中��,這種傳輸借助存儲器裝置或者說數(shù)據(jù)載體實現(xiàn)。在接收方面實現(xiàn)所述根據(jù)本發(fā)明的加密方法����,其中在步驟S5中,如果對帶密碼的密鑰的接收到的附屬的密鑰標(biāo)識Kot-ID檢查得出�����,該帶密碼的密鑰Kot仍未以解密的形式存在于接收裝置中吋,則借助私人密鑰Kpkiv對接收到的非対稱加密的密鑰ENC-Kot進(jìn)行解密�。在另ー個步驟S6中,如果接收裝置中仍不存在帶密碼的密鑰(Kra)����,那么利用該接收裝置中已存在的帶密碼的密鑰Kot或者利用借助私人密鑰Kpkiv解密的帶密碼的密鑰 Koem對接收到的密碼加密的有效數(shù)據(jù)単元ENC-NDE進(jìn)行解密。如果在步驟S5中對接收到的密鑰標(biāo)識Kra-ID檢查得出���,附屬的帶密碼的密鑰Kra 仍不存于該接收裝置中��,那么借助私人密鑰Kpkiv解密的帶密碼的密鑰Kot連同其附屬的密鑰標(biāo)識Kot-ID —起被存儲在接收裝置中以備后用�。圖2示出了根據(jù)本發(fā)明的系統(tǒng)1的ー種可能的實施方式的框圖���,該系統(tǒng)用于對密碼保護(hù)的有效數(shù)據(jù)単元加速解密�����。系統(tǒng)1具有發(fā)送裝置2和接收裝置3����,它們通過傳輸裝置4相互連接���。在圖2中所示的實施方式中���,所述傳輸裝置4是數(shù)據(jù)線�����。在ー個可替換的實施方式中�����,傳輸裝置是ー個網(wǎng)絡(luò)或者多個多網(wǎng)絡(luò)��。該網(wǎng)絡(luò)也可以是無線網(wǎng)絡(luò)�����。在一個可替換的實施方式中��,傳輸裝置是存儲器或者數(shù)據(jù)載體�����,它以存儲的方式傳輸數(shù)據(jù)。發(fā)送裝置2具有第一解密單元2A�����,用于借助公共密鑰Κ_對生成的帶密碼的密鑰進(jìn)行非対稱加密。帶密碼的密鑰Kot例如可以在發(fā)送裝置2的密鑰生成器2B中生成��。
在ー個可能的實施方式中����,公開密鑰Kpub可以存放在寄存器中或者發(fā)送裝置2的存儲器2C 中。發(fā)送裝置2還包含第二加密單元2D��,用于借助生成的帶密碼的密鑰Kot對至少一個有效數(shù)據(jù)單元NDE進(jìn)行加密����。在圖2中所示的實施方式中,有效數(shù)據(jù)単元NDE來自發(fā)送裝置2以外的有效數(shù)據(jù)來源��。該有效數(shù)據(jù)單元NDE尤其可以是軟件組件SWK�,它由軟件組件制造商OEM借助開發(fā)工具編程或者說生產(chǎn)。有效數(shù)據(jù)単元NDE或者說編程的軟件組件SWK 例如可以是能夠迅速執(zhí)行完的程序或者子程序����。在此,該軟件組件具有相應(yīng)的程序或者說子程序的源代碼或者目標(biāo)代碼����。這個源代碼或者目標(biāo)代碼或者該有效數(shù)據(jù)單元借助生成的帶密碼的密鑰Kot通過發(fā)送裝置2的第二加密單元2D加密�,并且由發(fā)送裝置2的端ロ 2E提供��。發(fā)送裝置2可以集成到該軟件組件制造商OEM的開發(fā)環(huán)境中�。端ロ 2E提供加密的有效數(shù)據(jù)単元ENC-NDE或者加密的軟件組件、非対稱加密的密鑰ENC-Kot以及該帶密碼的密鑰Kot的附屬的密鑰標(biāo)識Kot-ID��。在ー個可能的實施方式中���,所述發(fā)送裝置2具有単元2F����,它用于提供附屬的密鑰標(biāo)識Kot-ID,該密鑰標(biāo)識例如在提供帶密碼的密鑰Kra的情況下由密鑰生成器W觸發(fā)�。在ー個可能的實施方式中,単元2F可以是隨機(jī)數(shù)生成器��,其生成隨機(jī)數(shù)作為密鑰標(biāo)識Kra-ID����。在一個可替換的實施方式中,単元2F是計數(shù)器����,其提供計數(shù)值作為密鑰標(biāo)識
KOEM—ID。
傳輸裝置4將加密的有效數(shù)據(jù)単元ENC-NDE���、非対稱加密的密鑰ENC-Kra和該帶密碼的密鑰Kot附屬的密鑰標(biāo)識Kot-ID由發(fā)送裝置2傳輸給接收裝置3���。這種傳輸裝置4可以是數(shù)據(jù)線、一個或者多個網(wǎng)絡(luò)或者數(shù)據(jù)載體�����。正如圖2中所示的那樣�����,根據(jù)本發(fā)明的系統(tǒng)1的接收裝置3具有檢驗單元3A�����,其借助接收到的密鑰標(biāo)識Kcjem-ID檢查被傳輸?shù)姆菍澐Q加密的密鑰ENC-Kra是否已經(jīng)以解密的形式存在于接收裝置3中���。在ー個可能的實施方式中���,檢驗單元3A可以為此訪問接收裝置 3的內(nèi)存儲器3B,多個密鑰標(biāo)識Kcjem-ID以及附屬的帶密碼的密鑰Kcjem存放在該存儲器中�。接收裝置3還具有第一解密單元3C,它設(shè)置用于如果通過檢驗單元3A對帶密碼的密鑰Kra的附屬的密鑰標(biāo)識Kot-ID檢查得出�,該加密地接收到的帶密碼的密鑰Kra仍未以解密的形式存在于接收裝置3的存儲器加中����,則借助私人密鑰Kphv對接收到的非対稱加密的密鑰ENC-Kcjem進(jìn)行解密�。在ー個可能的實施方式中,第一解密單元3C通過控制信號線從檢驗単元3A獲得相應(yīng)的控制信號(使能Enable)�����。帶密碼的私人密鑰KpHv可以存放在存儲器裝置3的被保護(hù)的存儲器單元3D中��。接收裝置3還具有第二解密單元3E����,其利用接收裝置3中已經(jīng)以解密的形式存在的帶密碼的密鑰或者作為代替地利用由第一解密單元3C解密的帶密碼的密鑰Kra對接收到的密碼加密的有效數(shù)據(jù)単元ENC-NDE進(jìn)行解密。在圖2中所示的實施方式中���,接收裝置3的多路復(fù)用器3F根據(jù)來自檢驗單元3Α的控制信號進(jìn)行連接�。如果檢驗単元3Α得出結(jié)論��,加密接收到的帶密碼的密鑰仍未以加密的形式例如存在于接收裝置3的存儲器:3Β中�����,那么它激活第一解密單元3C用于借助私人密鑰Kphv對接收到的非対稱加密的密鑰進(jìn)行解密,并且借助多路復(fù)用器3F將第一解密單元3C的�、提供解密的帶密碼的密鑰Kqem 的輸出端轉(zhuǎn)接至第二解密單元3Ε。相反地���,如果檢驗単元3Α確定��,帶密碼的密鑰Kqem已經(jīng)以存儲的方式存在于接收裝置3中,那么就不必再通過第一解密單元3C進(jìn)行解密�����,并且借助多路復(fù)用器3F將已經(jīng)以存儲方式存在的帶密碼的密鑰Kra提供給第二解密單元3Ε��。在這種情況下就可以省去由第一解密單元3C進(jìn)行的相對耗費(fèi)成本的解密�,從而加速對密碼保護(hù)的有效數(shù)據(jù)単元NDE的解密。在ー個可能的實施方式中����,帶密碼的密鑰Kot由軟件組件制造商OEM的對話密鑰構(gòu)成。在ー個可能的實施方式中���,傳輸?shù)挠行?shù)據(jù)単元NDE或者說傳輸?shù)能浖M件SWK在接收方面被執(zhí)行單元或者說微處理器執(zhí)行���。接收裝置3可以是應(yīng)用者的目標(biāo)系統(tǒng)裝置的一部分,其用于執(zhí)行軟件組件SWK或者有效數(shù)據(jù)単元NDE。在ー個可能的實施方式中�����,接收裝置3具有可編程存儲控制裝置SPS��。在根據(jù)本發(fā)明應(yīng)用混合加密法時��,用于非対稱地對有效數(shù)據(jù)加密的對話密鑰配有在明文中可讀的密鑰標(biāo)識�。在根據(jù)本發(fā)明的方法中,優(yōu)選地附帶并更新ー個所有迄今在公共密鑰法的幫助下解密的對話密鑰的目錄��。這個目錄例如可以位于接收裝置3的存儲器;3B中�����。如果接收到用于進(jìn)行解密的新的混合加密的數(shù)據(jù)記錄或者說有效數(shù)據(jù)單元�����,那么首先檢查迄今已經(jīng)解密的對話密鑰的目錄是否已經(jīng)包含相應(yīng)的對話密鑰的密鑰標(biāo)識�,并且檢查該密鑰是否已經(jīng)用于數(shù)據(jù)記錄的實際有效數(shù)據(jù)加密。如果該目錄已經(jīng)包含該對話密鑰的密鑰標(biāo)識�����,那么從這個目錄中讀取出附屬的對話密鑰,并且直接繼續(xù)對有效數(shù)據(jù)進(jìn)行對稱解密�����。但是如果該目錄不包含這個密鑰標(biāo)識�����,或者在利用來自該目錄中的對話密鑰對有效數(shù)據(jù)解密時確定不可能對加密的有效數(shù)據(jù)進(jìn)行鑒定�����,那么僅在這種情況下才進(jìn)行完全的混合解密��。因此首先在公共密鑰法的幫助下對用于將有效數(shù)據(jù)對稱加密的對話密鑰進(jìn)行重組����,并且緊接著借助于計算出的對話密鑰對有效數(shù)據(jù)對稱解密���。緊接著����,以這種方式計算出的對話密鑰優(yōu)選地連同其附屬的密鑰標(biāo)識一起被存儲在目錄中或者存儲器中���。相應(yīng)地�����,可以在對有效數(shù)據(jù)単元NDE重新混合加密時事先進(jìn)行的是��,應(yīng)使用已經(jīng)公知的對話密鑰對有效數(shù)據(jù)單元進(jìn)行加密�����。在這種情況下����,不必重新計算該對話密鑰的公共密鑰解密。僅執(zhí)行對有效數(shù)據(jù)單元的對稱加密�。由于在根據(jù)本發(fā)明的方法中會借助加密及解密單元對混合加密的對話密鑰進(jìn)行標(biāo)記或者說標(biāo)識,所以使得可以識別出過去是否已經(jīng)在公共密鑰計算操作的幫助下計算出特定的對話密鑰�。如果在該密鑰中已經(jīng)存在被計算的密鑰的目錄,那么在根據(jù)本發(fā)明的方法中可以不用重新執(zhí)行會使性能下降的公共密鑰操作�����。在這種情況下��,將加密及解密過程減少���,以便利用純有效數(shù)據(jù)進(jìn)行対稱的計算操作���。如果在根據(jù)本發(fā)明的系統(tǒng)中�,特定的混合加密的數(shù)據(jù)記錄或者說有效數(shù)據(jù)單元總是重復(fù)地被加密或解密�,或者如果對于多個數(shù)據(jù)記錄或者說有效數(shù)據(jù)單元使用相同的對話密鑰,那么通過根據(jù)本發(fā)明的方法可以讓系統(tǒng)或者計算機(jī)系統(tǒng)的性能或者效率顯著提高���。在本發(fā)明的方法中使用了用于標(biāo)記對話密鑰的密鑰標(biāo)識�,根據(jù)本發(fā)明的方法在可能的實施方式中可以通過在明文中可讀的密鑰標(biāo)識與其他用于保護(hù)預(yù)計算的表格不受攻擊或者用于減少機(jī)密的密鑰材料(Schlilsselmaterials)的熵?fù)p失的方法組合起來��。根據(jù)本發(fā)明的方法和系統(tǒng)尤其可以用于安全可靠地或機(jī)密地將軟件組件或者有效數(shù)據(jù)單元從開發(fā)環(huán)境2傳輸給目標(biāo)系統(tǒng)裝置3����,例如可編程存儲控制裝置SPS���。密鑰ID 在ー個可能的實施方式中也可以是實際密鑰數(shù)據(jù)的散列值或測驗值����。此外可能的是����,隨機(jī)地并且不依賴于密鑰數(shù)據(jù)地生成密鑰標(biāo)識或者說密鑰ID�����。
權(quán)利要求
1.一種用于對密碼保護(hù)的有效數(shù)據(jù)単元(NDE)加速解密的方法���,具有以下步驟(a)如果對接收到的、帶密碼的密鑰(Kra)的附屬的密鑰標(biāo)識(K^ID)檢查得出�����,接收裝置(3)中存在的帶密碼的密鑰(Kra)仍未解密���,那么由所述接收裝置(3)借助私人密鑰 (Kpeiv)對接收到的非対稱加密的密鑰(ENC-Kot)進(jìn)行解密(S5)�;并且(b)利用所述該接收裝置(3)中存在的所述帶密碼的密鑰(Kra)�����,或者如果在所述接收裝置(3)中不存在所述帶密碼的密鑰(Kra)吋��,則利用借助所述私人密鑰(Kpkiv)解密的帶密碼的密鑰(Kot)對接收到的用密碼加密的有效數(shù)據(jù)単元(ENC-NDE)進(jìn)行解密(S6)�����。
2.根據(jù)權(quán)利要求1所述的方法��,其中如果對所述接收到的密鑰標(biāo)識OWm-ID)檢查得出,在所述接收裝置(3)中仍不存在附屬的所述帶密碼的密鑰(Kot)�,那么借助所述私人密鑰(Kpkiv)解密的所述帶密碼的密鑰(Kra)連同所述密鑰附屬的密鑰標(biāo)識(Kot-ID) —起存儲在所述接收裝置(3)中。
3.根據(jù)權(quán)利要求1或2所述的方法��,其中���,所述有效數(shù)據(jù)單元(NDE)由軟件組件制造商 (OEM)的軟件組件(SWK)構(gòu)成��。
4.根據(jù)權(quán)利要求3所述的方法�,其中����,所述帶密碼的密鑰(Κ_)由所述軟件組件制造商 (OEM)的對話密鑰構(gòu)成。
5.根據(jù)權(quán)利要求1至4所述的方法�,其中所述密鑰標(biāo)識(Kcjem-ID)由相應(yīng)的帶密碼的密鑰(Kot)的散列值或測驗值構(gòu)成。
6.根據(jù)權(quán)利要求1至4所述的方法�,其中所述密鑰標(biāo)識(Kot-ID)由發(fā)送裝置(2)的隨機(jī)生成器(2F)生成的隨機(jī)數(shù)構(gòu)成。
7.根據(jù)權(quán)利要求1至4所述的方法�����,其中所述密鑰標(biāo)識(Kot-ID)由所述發(fā)送裝置(2) 的計數(shù)器(2F)生成的計數(shù)值構(gòu)成��。
8.根據(jù)權(quán)利要求6至7所述的方法�����,其中所述加密的有效數(shù)據(jù)単元(ENC-NDE)����、所述附屬的非対稱加密的帶密碼的密鑰(ENC-Kot)和所述密鑰的密鑰標(biāo)識(Kcjem-ID)通過網(wǎng)絡(luò)或者以存儲在數(shù)據(jù)載體中的形式由所述發(fā)送裝置(2 )傳輸給所述接收裝置(3 )。
9.根據(jù)權(quán)利要求6至8所述的方法����,其中所述發(fā)送裝置(2)由軟件組件制造商(OEM) 的、用于開發(fā)開發(fā)軟件組件(SWK)的開發(fā)裝置構(gòu)成����。
10.根據(jù)權(quán)利要求1至9所述的方法,其中所述接收裝置(3)由應(yīng)用者的��、用于執(zhí)行軟件組件的目標(biāo)系統(tǒng)裝置構(gòu)成���。
11.根據(jù)權(quán)利要求10所述的方法��,其中���,所述接收裝置(3)具有可編程存儲控制裝置 (SPS)0
12.用于對密碼保護(hù)的有效數(shù)據(jù)単元(NDE)加速解密的系統(tǒng)(1),具有(a)發(fā)送裝置(2),所述發(fā)送裝置具有-用于借助公共密鑰(KpJ非対稱地對帶密碼的密鑰(Kra)加密的第一加密單元(2A);-用于借助所述帶密碼的密鑰(Kot)對至少一個有效數(shù)據(jù)單元(NDE)加密的第二加密単元(2D)����;和-端ロ(2E),用于提供所述加密的有效數(shù)據(jù)単元(ENC-NDE)��、所述非對稱加密的密鑰 (ENC-Koem)和所述帶密碼的密鑰(Κ_)的附屬的密鑰標(biāo)識(KOEM-ID)��;(b)傳輸裝置(4)����,所述傳輸裝置用于傳輸所述加密的有效數(shù)據(jù)単元(ENC-NDE)、所述非対稱加密的密鑰(ENC-Kot)和所述帶密碼的密鑰(Kra)的所述附屬的密鑰標(biāo)識(K^ID)�����;和(c )接收裝置(3 )���,所述接收裝置具有-檢驗單元(3A)���,所述檢驗単元用于根據(jù)所述接收到的密鑰標(biāo)識(Kra_ID)檢查所述傳輸?shù)姆菍澐Q加密的密鑰(ENC-Kot)是否已經(jīng)以解密的形式存在于所述接收裝置(3)中;-第一解密單元(3C)���,如果對所述帶密碼的密鑰(Kra)的所述附屬的密鑰標(biāo)識(K^ID) 檢查得出���,所述加密接收到的帶密碼的密鑰(Kra)仍未以解密的形式存在于所述接收裝置(3)中,那么所述第一解密單元借助私人密鑰(Kpkiv)對所述接收到的非対稱加密的密鑰 (ENC-Koem)進(jìn)行解密�;-第二解密單元(3E),所述第二解密單元利用接收裝置中已經(jīng)以解密的形式存在的帶密碼的密鑰(Kot)或者利用由所述第一解密單元(3C)解密的所述帶密碼的密鑰(Kot)對所述接收到的密碼加密的有效數(shù)據(jù)単元(ENC-NDE)進(jìn)行解密��。
13.—種發(fā)送裝置(2)��,尤其是用于根據(jù)權(quán)利要求12用于對密碼保護(hù)的有效數(shù)據(jù)単元 (NDE)的系統(tǒng)(1)加速解密的發(fā)送裝置����,具有-用于借助公共密鑰(Kpub)非対稱地對帶密碼的密鑰(Kra)加密的第一加密單元(2A);-用于借助所述帶密碼的密鑰(Kra)對至少一個有效數(shù)據(jù)單元(ND^加密的第二加密単元(2D);和-端ロ(2E)���,用于提供所述加密的有效數(shù)據(jù)単元(ENC-NDE)����、所述非對稱加密的密鑰 (ENC-Koem)和所述帶密碼的密鑰(Kra)的附屬的密鑰標(biāo)識(Kqem_ID)����。
14.一種接收裝置(3),尤其是用于根據(jù)權(quán)利要求12對密碼保護(hù)的有效數(shù)據(jù)単元(ND^ 的系統(tǒng)(1)加速解密的接收裝置�����,具有-檢驗單元(3A),用于根據(jù)接收到的密鑰標(biāo)識(K^ID)檢查傳輸?shù)姆菍澐Q加密的密鑰 (ENC-Koem)是否已經(jīng)以解密的形式存在于所述接收裝置(3)中����;-第一解密單元(3C),如果對帶密碼的密鑰(Kot)的所述附屬的密鑰標(biāo)識(K^ID)檢查得出��,接收到的所述帶密碼的密鑰(Kot)仍未以解密的形式存在��,那么所述第一解密單元借助私人密鑰(Kpkiv)對所述接收到的非対稱加密的密鑰(ENC-Kra)進(jìn)行解密�;和-第二解密單元(3E),所述第二解密單元利用在所述接收裝置(3)中已經(jīng)以解密的形式存在的所述帶密碼的密鑰(Kot)或者利用由所述第一解密單元(3C)解密的所述帶密碼的密鑰(Kot)對所述接收到的密碼加密的有效數(shù)據(jù)単元(ENC-NDE)進(jìn)行解密��。
15.一種用于執(zhí)行根據(jù)權(quán)利要求1-11所述的方法的計算機(jī)程序����。
全文摘要
本發(fā)明涉及一種系統(tǒng)和一種方法,用于對密碼保護(hù)的有效數(shù)據(jù)單元(NDE)加速解密�,其具有多個步驟。首先由發(fā)送裝置生成配有所屬的密鑰標(biāo)識(KOEM_ID)的帶密碼的密鑰(KOEM)�。接著由發(fā)送裝置借助公開的帶密碼的密鑰(KPUB)對生成的帶密碼的密鑰(KOEM)進(jìn)行非對稱加密,并且由該發(fā)送裝置借助生成的帶密碼的密鑰(KOEM)對至少一個有效數(shù)據(jù)單元(NDE)進(jìn)行加密���。加密的有效數(shù)據(jù)單元(ENC-NDE)和非對稱加密的帶密碼的密鑰(ENC-KOEM)以及該帶密碼的密鑰(KOEM)附屬的密鑰標(biāo)識(KOEM-ID)被傳輸給接收裝置�,其中如果對該帶密碼的密鑰(KOEM)的接收到的附屬的密鑰標(biāo)識(KOEM-ID)檢查得出����,接收裝置中存在的帶密碼的密鑰(KOEM)仍未解密��,那么由接收裝置借助私人密鑰(KPRIV)對接收到的非對稱加密的密鑰(ENC-KOEM)進(jìn)行解密��。最后接收裝置利用存在于該接收裝置中的帶密碼的密鑰(KOEM)或者利用借助私人密鑰(KPRIV)解密的帶密碼的密鑰(KOEM)對接收到的帶密碼的加密的有效數(shù)據(jù)單元(ENC-NDE)進(jìn)行解密。根據(jù)本發(fā)明的方法和系統(tǒng)在混合加密中實現(xiàn)了加速并且提高了數(shù)據(jù)傳輸率�����,而不會增加其中使用的線路復(fù)雜度��。
文檔編號H04L9/08GK102598575SQ201080050755
公開日2012年7月18日 申請日期2010年10月12日 優(yōu)先權(quán)日2009年11月9日
發(fā)明者貝恩德·邁爾, 邁克爾·布勞恩, 馬庫斯·迪希特 申請人:西門子公司